Avisos de seguridad de Siemens de febrero de 2022

Fecha de publicación 08/02/2022
Importancia
5 - Crítica
Recursos Afectados
  • Distintos modelos y versiones listados en SSA-244969 , SSA-539476 , SSA-838121 y SSA-914168 de productos RUGGEDCOM, SCALANCE, SIMATIC, SINEC, SINEMA, SINUMERIK, SIPLUS, TIA Administrator y TIM.
  • Todas las versiones de:
    • JT2Go;
    • Teamcenter Visualization V12.4 y V13.2;
    • Simcenter Femap V2020.2 y V2021.1;
    • SICAM TOOLBOX II.
  • Solid Edge SE2021, versiones anteriores a SE2021MP9 (solo afectados por CVE-2021-44000, CVE-2021-44016 y CVE-2021-44018).
  • Solid Edge SE2022, versiones anteriores a SE2022MP1 (solo afectados por CVE-2021-44000, CVE-2021-44016 y CVE-2021-44018).
  • Teamcenter Visualization V13.1:
    • todas las versiones (solo afectados por CVE-2021-43336, CVE-2021-44000, CVE-2021-44016, CVE-2021-44018);
    • versiones anteriores a 13.1.0.8 (solo afectados por CVE-2021-38405).
  • Teamcenter Visualization V13.3:
    • todas las versiones (solo afectados por CVE-2021-43336);
    • versiones anteriores a 13.3.0.1 (solo afectados por CVE-2021-38405, CVE-2021-44000, CVE-2021-44016 y CVE-2021-44018).
  • SINEMA Remote Connect Server, versiones anteriores a 2.0.
  • Spectrum Power 4, versiones anteriores a 4.70 SP9 Security Patch 1.
Descripción

Siemens ha publicado en su comunicado mensual varias actualizaciones de seguridad de diferentes productos.

Solución

Las actualizaciones que corrigen las vulnerabilidades indicadas pueden obtenerse desde el panel de descarga de Siemens. Para los productos sin actualizaciones disponibles es recomendable aplicar las medidas de mitigación descritas en la sección de Referencias.

Detalle

Siemens, en su comunicado mensual de parches de seguridad, ha emitido un total de 9 nuevos avisos de seguridad.

  • Las aplicaciones afectadas utilizan un control de acceso eludible dentro de un servicio de base de datos, lo que podría permitir a un atacante acceder a la base de datos. Se ha asignado el identificador CVE-2021-45106 para esta vulnerabilidad crítica.

Los tipos de nuevas vulnerabilidades, no críticas, publicadas se corresponden con los siguientes:

  • lectura fuera de límites,
  • restricción inadecuada de operaciones dentro de los límites del búfer de memoria,
  • escritura fuera de límites,
  • desbordamiento de búfer,
  • desbordamiento de enteros,
  • confusión de tipos de archivos,
  • redirección abierta,
  • Cross-Site Scripting (XSS),
  • denegación de servicio (DoS),
  • exposición de información sensible,
  • archivos o directorios externos con acceso a información sensible.

Los identificadores CVE asignados para estas vulnerabilidades, no críticas, pueden consultarse en la sección 'vulnerability classification' de cada aviso de Siemens.

Encuesta valoración

Listado de referencias
SSA-244969: OpenSSL Vulnerability in Industrial Products
SSA-301589: Multiple File Parsing Vulnerabilities in Solid Edge, JT2Go and Teamcenter Visualization
SSA-539476: Siemens SIMATIC NET CP, SINEMA and SCALANCE Products Affected by Vulnerabilities in Third-Party Component strongSwan
SSA-609880: File Parsing Vulnerabilities in Simcenter Femap before V2022.1
SSA-654775: Open Redirect Vulnerability in SINEMA Remote Connect Server
SSA-669737: Improper Access Control Vulnerability in SICAM TOOLBOX II
SSA-831168: Cross-Site Scripting Vulnerability in Spectrum Power 4
SSA-838121: Multiple Denial of Service Vulnerabilities in Industrial Products
SSA-914168: Multiple Vulnerabilities in SIMATIC WinCC Affecting Other SIMATIC Software Products
ICS Advisory (ICSA-22-041-01) Siemens SIMATIC Industrial Products
ICS Advisory (ICSA-22-041-02) Siemens SIMATIC WinCC and PCS
ICS Advisory (ICSA-22-041-03) Siemens Simcenter Femap
ICS Advisory (ICSA-22-041-04) SINEMA Remote Connect Server
ICS Advisory (ICSA-22-041-05) SICAM TOOLBOX II
ICS Advisory (ICSA-22-041-06) Siemens Spectrum Power 4
Etiquetas